¿Cómo puedo habilitar el registro de auditoría para una instancia de Amazon RDS para MySQL o MariaDB y publicar los registros en CloudWatch?

4 minutos de lectura
0

Quiero auditar la actividad de la base de datos (DB) para cumplir los requisitos de mi instancia de base de datos de Amazon Relational Database Service (Amazon RDS) que ejecuta MySQL o MariaDB. Después, quiero publicar los registros de base de datos en Amazon CloudWatch. ¿Cómo puedo hacerlo?

Descripción breve

Para utilizar el complemento MariaDB Audit y capturar eventos como conexiones, desconexiones, consultas o tablas consultadas, debe hacer lo siguiente:

Si utiliza la edición compatible con Amazon Aurora MySQL, consulte ¿Cómo puedo habilitar el registro de auditoría para mi clúster de base de datos compatible con Aurora MySQL y publicar los registros en CloudWatch?

Resolución

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), confirme que está ejecutando una versión reciente de la AWS CLI.

Amazon RDS admite la configuración del complemento de auditoría en las siguientes versiones de MySQL y MariaDB:

  • Todas las versiones de MySQL 5.7
  • MySQL 5.7.16 y versiones a partir de la 5.7
  • MySQL 8.0.25 y versiones a partir de la 8.0
  • MariaDB 10.2 y superiores

Para obtener más información sobre las versiones compatibles, consulte Soporte del complemento MariaDB Audit y Opciones para los motores de bases de datos de MariaDB.

Añadir y configurar el complemento MariaDB Audit y asociar la instancia de base de datos a un grupo de opciones personalizado

1.    Cree un grupo de opciones personalizado o modifique un grupo de opciones personalizado existente.

2.    Añada la opción del complemento MariaDB Audit al grupo de opciones y configure los ajustes de las opciones.

3.    Aplique el grupo de opciones a la instancia de base de datos.

Para aplicar la opción a una nueva instancia de base de datos, configúrela para que utilice el grupo de opciones que ha creado al lanzar la instancia de base de datos. Para aplicar la opción a una instancia de base de datos existente, modifique la instancia de base de datos y adjunte el nuevo grupo de opciones. Para obtener más información, consulte Modificar una instancia de base de datos de Amazon RDS.

Después de configurar la instancia de base de datos con el complemento MariaDB Audit, no hay que reiniciarla. Cuando el grupo de opciones esté activo, la auditoría comienza inmediatamente.

Nota: Amazon RDS no admite la desactivación del registro en el complemento MariaDB Audit. Para desactivar el registro de auditoría, elimine el complemento del grupo de opciones asociado. Así se reinicia la instancia automáticamente. Para limitar la longitud de la cadena de consulta de un registro, utilice la opción SERVER_AUDIT_QUERY_LOG_LIMIT.

Publicar registros de auditoría en CloudWatch

1.    Abra la consola de Amazon RDS.

2.    Seleccione Bases de datos en el panel de navegación.

3.    Seleccione la instancia de base de datos que quiere utilizar para exportar los datos de registro a CloudWatch.

4.    Seleccione Modificar.

5.    En la sección Exportaciones de logs, seleccione Log de auditoría.

6.    Seleccione Continuar.

7.    Revise el Resumen de modificaciones y, a continuación, seleccione Modificar instancia.

También puede utilizar la siguiente sintaxis de comandos de la AWS CLI para activar las exportaciones de registros de CloudWatch:

aws rds modify-db-instance --db-instance-identifier <mydbinstance> --cloudwatch-logs-export-configuration '{"EnableLogTypes":["audit"]}'

Tras activar el registro de auditoría y modificar la instancia para exportar los registros, los eventos que se registren en los registros de auditoría se envían a CloudWatch. A continuación, puede supervisar los eventos de registro en CloudWatch.